Сейчас обсуждают

[Vitalyan_gl]

Тема по тестированию антивирусов на подозрительных файлах!

В данной теме будут выкладываться ссылки на архивы со зловредами. Настоятельно не рекомендуется запускать файлы из архивов, а только сканировать!!! Или делать это на виртуальной машине! Затем ежемесячно будем подводить итоги и составлять статистику по антивирусным решениям!

Результаты первого тестирования тут http://forum.sibnet.ru/index.php?s=&sh...t&p=8333696
Результаты второго тестирования тут http://forum.sibnet.ru/index.php?s=&sh...t&p=8819426


Пароли на все архивы:

[Feo]

Avira Security Suite 9
Архив 13

» Спойлер (нажмите, чтобы прочесть) «

C:\Documents and Settings\Feo\Мои документы\Downloads\Compressed\infected13\infected13\caej.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Crypt.XPACK.Gen
[УКАЗАНИЕ] Файл был удален.
C:\Documents and Settings\Feo\Мои документы\Downloads\Compressed\infected13\infected13\ff2ie.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Agent.awz
[УКАЗАНИЕ] Файл был удален.
C:\Documents and Settings\Feo\Мои документы\Downloads\Compressed\infected13\infected13\hny32.exe
[УКАЗАНИЕ] Файл был удален.
C:\Documents and Settings\Feo\Мои документы\Downloads\Compressed\infected13\infected13\host.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Dropper.Gen
[УКАЗАНИЕ] Файл был удален.
C:\Documents and Settings\Feo\Мои документы\Downloads\Compressed\infected13\infected13\Install_downbank.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Dropper.Gen
[УКАЗАНИЕ] Файл был удален.
C:\Documents and Settings\Feo\Мои документы\Downloads\Compressed\infected13\infected13\loader.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Spy.147968.15
[УКАЗАНИЕ] Файл был удален.
C:\Documents and Settings\Feo\Мои документы\Downloads\Compressed\infected13\infected13\New-Video-Addon.48034.exe
[ОБНАРУЖЕНИЕ] Содержит сигнатуру дроппера DR/Dldr.CodecPack.sjt.18
[УКАЗАНИЕ] Файл был удален.
C:\Documents and Settings\Feo\Мои документы\Downloads\Compressed\infected13\infected13\pds.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Crypt.ZPACK.Gen
[УКАЗАНИЕ] Файл был удален.
C:\Documents and Settings\Feo\Мои документы\Downloads\Compressed\infected13\infected13\setup.exe
[ОБНАРУЖЕНИЕ] Троянская программа TR/Agent.aqzo.11
[УКАЗАНИЕ] Файл был удален.
C:\Documents and Settings\Feo\Мои документы\Downloads\Compressed\infected13\infected13\skol.scr
[ОБНАРУЖЕНИЕ] Содержит сигнатуру дроппера DR/Dldr.Banload.bezv.1
[УКАЗАНИЕ] Файл был удален.

10 из 16

pack.exe уже известен вирлабу и будет добавлен как TR/Drop.PerlBot.A.

[Vitalyan_gl]

Так, ребят, приношу извинения, провели еще один эксперимент, оказалось ничему дядя Женя не научил свой продукт, а просто архив по какой-то непонятной причине получился слегка битым, несколько файлов не под паролем!

[Vitalyan_gl]

Архив №14, 8 файлов для теста

» Спойлер (нажмите, чтобы прочесть) «

http://ifolder.ru/21022370

G Data InternetSecurity 2011


Архив №13, 16 фалов
При распаковке в карантин улетели 15

» Спойлер (нажмите, чтобы прочесть) «

Остаток: pack.exe

Архив №14, 8 файлов

При распаковке все 8 улетели в карантин!

» Спойлер (нажмите, чтобы прочесть) «

[Laperuz]

avast! Free 5.1.845 Beta, базы 101225-1, 2337052 сигнатуры.
Архив №14:

» Спойлер (нажмите, чтобы прочесть) «

26.12.2010 15:04:29 F:\Документы\Дима\вирусы\infected14\4c6dad.exe|>[UPX] [L] Win32:Zbot-MXB [Trj] (0)
Файл был успешно перемещен в карантин...
26.12.2010 15:04:31 F:\Документы\Дима\вирусы\infected14\calc.exe [L] Win32:Dropper-gen [Drp] (0)
Файл был успешно перемещен в карантин...
26.12.2010 15:04:31 F:\Документы\Дима\вирусы\infected14\PIC78018105629450-JPG-facebook.exe [L] Win32:Malware-gen (0)
Файл был успешно перемещен в карантин...
26.12.2010 15:04:31 F:\Документы\Дима\вирусы\infected14\setup.exe [L] Win32:Rootkit-gen [Rtk] (0)
Файл был успешно перемещен в карантин...

Итого 4 из 8

Vitalyan_gl, можете перезалить 13 архив? Он битый.

[SanchoZZ]

ESET NOD32 Antivirus 4.2.67.10
Версия баз: 5732
Архив №14


Итого 3 из 8.

[Vitalyan_gl]

Vitalyan_gl, можете перезалить 13 архив? Он битый.

Хорошо, вот ссылка на перезалитый архив №13

» Спойлер (нажмите, чтобы прочесть) «

http://ifolder.ru/21014450

Сообщение отредактировал Vitalyan_gl - 26.12.2010, 16:40

[alemtin]

Kaspersky Internet Security 2011
Архив №13

» Спойлер (нажмите, чтобы прочесть) «

Удалено (21)
26.12.2010 19:11:40 Удалено троянская программа Trojan.Win32.Inject.aytq E:\infected13\infected13\caej.exe Высокая
26.12.2010 19:11:43 Удалено троянская программа Trojan-Dropper.Win32.TDSS.uyj E:\infected13\infected13\dg.exe Высокая
26.12.2010 19:11:45 Удалено троянская программа Trojan.Win32.Agent.ezni E:\infected13\infected13\ff2ie.exe Высокая
26.12.2010 19:11:45 Удалено троянская программа Trojan.Win32.Agent.ezni E:\infected13\infected13\ff2ie.exe//UPX Высокая
26.12.2010 19:11:47 Удалено вирус Net-Worm.Win32.Koobface.hiv E:\infected13\infected13\hny32.exe Высокая
26.12.2010 19:11:47 Удалено вирус Net-Worm.Win32.Koobface.hiv E:\infected13\infected13\hny32.exe//UPX Высокая
26.12.2010 19:11:50 Удалено вирус Net-Worm.Win32.Koobface.hiu E:\infected13\infected13\loader.exe Высокая
26.12.2010 19:11:50 Удалено вирус Net-Worm.Win32.Koobface.hiu E:\infected13\infected13\loader.exe//UPX Высокая
26.12.2010 19:11:51 Удалено троянская программа Trojan-Downloader.Win32.CodecPack.sjt E:\infected13\infected13\New-Video-Addon.48034.exe Высокая
26.12.2010 19:11:51 Удалено троянская программа Trojan-Downloader.Win32.CodecPack.sjt E:\infected13\infected13\New-Video-Addon.48034.exe//UPX Высокая
26.12.2010 19:11:53 Удалено троянская программа Trojan-GameThief.Win32.Magania.eevo E:\infected13\infected13\pds.exe Высокая
26.12.2010 19:11:58 Удалено вирус HEUR:Trojan.Win32.Generic E:\infected13\infected13\setup.exe Высокая
26.12.2010 19:11:58 Удалено вирус HEUR:Trojan.Win32.Generic E:\infected13\infected13\setup.exe//UPX Высокая
26.12.2010 19:12:00 Удалено троянская программа Trojan-Downloader.Win32.Banload.bfcv E:\infected13\infected13\skol.scr Высокая
26.12.2010 19:12:00 Удалено троянская программа Trojan-Downloader.Win32.Banload.bfcv E:\infected13\infected13\skol.scr//UPX Высокая
26.12.2010 19:12:02 Удалено троянская программа Trojan.Win32.Lexip.cv E:\infected13\infected13\s_new.exe Высокая
26.12.2010 19:12:04 Удалено троянская программа Backdoor.Win32.TDSS.dox E:\infected13\infected13\u3.exe Высокая
26.12.2010 19:12:07 Удалено троянская программа Trojan.Win32.Agent.gvjk E:\infected13\infected13\WindowsXP-7-VIS-v3-x86-DEU.exe Высокая
26.12.2010 19:12:10 Удалено троянская программа Trojan-PSW.Win32.Agent.vlm E:\infected13\infected13\za.exe Высокая
26.12.2010 19:12:30 Удалено троянская программа Trojan-Spy.Perl.Agent.b e:\infected13\infected13\pack.exe Высокая
26.12.2010 19:12:30 Удалено троянская программа Trojan-Spy.Perl.Agent.b e:\infected13\infected13\pack.exe//_main.pl Высокая

Итого 14 из 16

Архив №14

» Спойлер (нажмите, чтобы прочесть) «

Удалено (9)
26.12.2010 19:06:10 Удалено неизвестная угроза UDS:DangerousObject.Multi.Generic E:\infected14\infected14\about.exe Высокая
26.12.2010 19:06:11 Удалено троянская программа Trojan-Spy.Win32.Zbot.avzu E:\infected14\infected14\4c6dad.exe//UPX Высокая
26.12.2010 19:06:11 Удалено троянская программа Trojan-Spy.Win32.Zbot.avzu E:\infected14\infected14\4c6dad.exe Высокая
26.12.2010 19:06:33 Удалено вирус HEUR:Trojan.Win32.Generic E:\infected14\infected14\calc.exe Высокая
26.12.2010 19:06:37 Удалено троянская программа Trojan-PSW.Win32.LdPinch.anmn E:\infected14\infected14\passw.plug.exe Высокая
26.12.2010 19:06:39 Удалено троянская программа Trojan.Win32.VB.anil E:\infected14\infected14\PIC78018105629450-JPG-facebook.exe Высокая
26.12.2010 19:06:43 Удалено вирус HEUR:Trojan.Win32.Generic E:\infected14\infected14\setup.exe//UPX Высокая
26.12.2010 19:06:43 Удалено вирус HEUR:Trojan.Win32.Generic E:\infected14\infected14\setup.exe Высокая
26.12.2010 19:06:49 Удалено троянская программа Trojan.Win32.KillAV.gzf E:\infected14\infected14\stopav.plug.exe Высокая

Итого 7 из 8

Сообщение отредактировал alemtin - 26.12.2010, 20:15

[Laperuz]

avast! Free 5.1.845 Beta, базы 101226-0, 2338898 сигнатур.
Архив №13:

» Спойлер (нажмите, чтобы прочесть) «

26.12.2010 22:17:18 C:\Users\Света\Desktop\infected13\infected13\caej.exe [L] Win32:Malware-gen (0)
Файл был успешно перемещен в карантин...
26.12.2010 22:17:20 C:\Users\Света\Desktop\infected13\infected13\dg.exe [L] Win32:Rootkit-gen [Rtk] (0)
Файл был успешно перемещен в карантин...
26.12.2010 22:17:21 C:\Users\Света\Desktop\infected13\infected13\ff2ie.exe [L] Win32:Malware-gen (0)
Файл был успешно перемещен в карантин...
26.12.2010 22:17:21 C:\Users\Света\Desktop\infected13\infected13\hny32.exe [L] Win32:Malware-gen (0)
Файл был успешно перемещен в карантин...
26.12.2010 22:17:21 C:\Users\Света\Desktop\infected13\infected13\host.exe [L] Win32:Malware-gen (0)
Файл был успешно перемещен в карантин...
26.12.2010 22:17:22 C:\Users\Света\Desktop\infected13\infected13\loader.exe [L] Win32:Malware-gen (0)
Файл был успешно перемещен в карантин...
26.12.2010 22:17:22 C:\Users\Света\Desktop\infected13\infected13\New-Video-Addon.48034.exe [L] Win32:Malware-gen (0)
Файл был успешно перемещен в карантин...
26.12.2010 22:17:22 C:\Users\Света\Desktop\infected13\infected13\pds.exe [L] Win32:Malware-gen (0)
Файл был успешно перемещен в карантин...
26.12.2010 22:17:22 C:\Users\Света\Desktop\infected13\infected13\setup.exe [L] Win32:Adware-gen [Adw] (0)
Файл был успешно перемещен в карантин...
26.12.2010 22:17:22 C:\Users\Света\Desktop\infected13\infected13\skol.scr|>[UPX] [L] Win32:Rootkit-gen [Rtk] (0)
Файл был успешно перемещен в карантин...
26.12.2010 22:17:22 C:\Users\Света\Desktop\infected13\infected13\s_new.exe [L] Win32:Malware-gen (0)
Файл был успешно перемещен в карантин...
26.12.2010 22:17:23 C:\Users\Света\Desktop\infected13\infected13\u3.exe [L] Win32:Malware-gen (0)
Файл был успешно перемещен в карантин...
26.12.2010 22:17:23 C:\Users\Света\Desktop\infected13\infected13\WindowsXP-7-VIS-v3-x86-DEU.exe [L] Win32:Malware-gen (0)
Файл был успешно перемещен в карантин...
26.12.2010 22:17:23 C:\Users\Света\Desktop\infected13\infected13\za.exe [L] Win32:Malware-gen (0)
Файл был успешно перемещен в карантин...

Итого 14 из 16

[SanchoZZ]

По 14 архиву.
Ответ от вирлаба авиры:

File ID Filename Size (Byte) Result
26001247 about.exe 109.5 KB MALWARE
26001270 calc.exe 109 KB MALWARE
26001248 install.1.exe 236 KB MALWARE
25918374 passw.plug.exe 1.33 MB CLEAN
25918383 stopav.plug.exe 586.08 KB CLEAN

З.Ы. Надо будет после каждого архива (как все отпишутся), отправлять файлы в вирлабы, дабы чистые файлы увидеть. =)

Сообщение отредактировал SanchoZZ - 27.12.2010, 19:15

[STAFFORD]

Архив 13
Avira AntiVir Premium 10
16 из 16

» Спойлер (нажмите, чтобы прочесть) «

Start of the scan: 4 января 2011 г. 01:44

Starting the file scan:

Begin scan in 'C:\Users\орлор\Desktop\Desktop\infected13'
C:\Users\орлор\Desktop\Desktop\infected13\caej.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
--> Object
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected13\dg.exe
[DETECTION] Is the TR/Kazy.6524.4 Trojan
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected13\ff2ie.exe
[DETECTION] Is the TR/Agent.awz Trojan
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected13\hny32.exe
[DETECTION] Is the TR/Spy.24576.161 Trojan
--> Object
[1] Archive type: RSRC
--> Object
[DETECTION] Is the TR/Spy.24576.161 Trojan
--> Object
[DETECTION] Contains recognition pattern of the RKIT/Koobface.FF root kit
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected13\host.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected13\Install_downbank.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected13\loader.exe
[DETECTION] Is the TR/Spy.147968.15 Trojan
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected13\New-Video-Addon.48034.exe
[DETECTION] Contains recognition pattern of the DR/Dldr.CodecPack.sjt.18 dropper
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected13\pack.exe
[DETECTION] Contains recognition pattern of the DR/Spy.Perl.Agent.B dropper
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected13\pds.exe
[DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected13\setup.exe
[DETECTION] Is the TR/Agent.aqzo.11 Trojan
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected13\skol.scr
[DETECTION] Contains recognition pattern of the DR/Dldr.Banload.bezv.1 dropper
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected13\s_new.exe
[DETECTION] Is the TR/Lexip.CV Trojan
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected13\u3.exe
[DETECTION] Contains a recognition pattern of the (harmful) BDS/TDSS.5683258.1 back-door program
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected13\WindowsXP-7-VIS-v3-x86-DEU.exe
[DETECTION] Is the TR/Pefsire.A Trojan
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected13\za.exe
[DETECTION] Is the TR/PSW.Agent.vlm Trojan
[NOTE] The file was deleted!

---
архив 14

6 из 8

» Спойлер (нажмите, чтобы прочесть) «

Begin scan in 'C:\Users\орлор\Desktop\Desktop\infected14'
C:\Users\орлор\Desktop\Desktop\infected14\4c6dad.exe
[DETECTION] Contains recognition pattern of the DR/Spy.ZBot.avzu dropper
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected14\about.exe
[DETECTION] Is the TR/Carberp.E.28 Trojan
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected14\calc.exe
[DETECTION] Is the TR/Buzy.419 Trojan
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected14\install.1.exe
[DETECTION] Is the TR/Dldr.CodecPack.aaer Trojan
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected14\PIC78018105629450-JPG-facebook.exe
[DETECTION] Is the TR/VB.anil Trojan
[NOTE] The file was deleted!
C:\Users\орлор\Desktop\Desktop\infected14\setup.exe
[DETECTION] Is the TR/Gendal.326656.2 Trojan
[NOTE] The file was deleted!

[X-SPORTS]

Архив №13
16 из 16
Eset Smart Security 4.2.67.10

[SanchoZZ]

Архив №13
16 из 16
Eset Smart Security 4.2.67.10

Нодом уже сканил архив.
Результат на предыдущей странице, а этот ничего не показывает т.к. те файлы которые он не задетектил в прошлый раз - были отправлены в вирлаб.

//upd
Когда будет следующий архив?

Сообщение отредактировал SanchoZZ - 4.1.2011, 21:26

[Feo]

//upd
Когда будет следующий архив?

Завтра подкину пачечку.

Хотя, Vitalyan_gl вроде бы и не пропал, на сайте, где брались сэмплы, он отписывается

Да и месяц прошел...надо итоги подводить.

[Feo]

Итоги за Декабрь-Январь


В архиве 2 файла Excel (2007 и 2003), там подробней.

 AVresults1.zip ( 14.75 килобайт ) Кол-во скачиваний: 59


Ногами не пинать, если чего не так

+ на фоне всего этого, предлагаю еще раз обсудить методологию.

P.S. Спасибо всем, кто участвовал и будет участвовать в тестах!

[SanchoZZ]

В связи с подведением итогов- предлагаю начать новый месяц тестирования.

По методологии-
Я думаю нужно:
1. проверять уже распакованное в папку содержимое архива, и постить скрин окна с результатами сканирования (а то написать можно много чего).
2. после сканирования содержимого архива, всеми участниками тестирования- отправлять файлы в вирлабы (дабы знать сколько в архиве было чистых файлов).
3. Сканировать архив в течении суток.

Можно ещё закрепить за каждым участником антивирь. И этот список закрепить в первом посте.

З.Ы. Я беру EAV 4.2.67.10

Сообщение отредактировал SanchoZZ - 5.1.2011, 18:08

[Feo]

В связи с подведением итогов- предлагаю начать новый месяц тестирования.

По методологии-
Я думаю нужно:
1. проверять уже распакованное в папку содержимое архива, и постить скрин окна с результатами сканирования (а то написать можно много чего).
2. после сканирования содержимого архива, всеми участниками тестирования- отправлять файлы в вирлабы (дабы знать сколько в архиве было чистых файлов).
3. Сканировать архив в течении суток.

Можно ещё закрепить за каждым участником антивирь. И этот список закрепить в первом посте.

З.Ы. Я беру EAV 4.2.67.10

По 1 - согласен + указать не обнаруженные объекты, по 2 - закрепляем за каждым определенный вирлаб? 3 - согласен, иначе неточные результаты получаются.

Если по 2 да, то беру вирлаб Авиры (для пополнения баз и отбора чистых) и Emsisoft (чисто для пополнения баз, там вроде как не отвечают) Либо, кто кому отошлет и кому быстрей ответят, тот постит.
И с позавчера с Авиры я слез, поэтому буду тестить Emsisoft Anti-Malware.

В конце месяца, как я написал в репорте, выставлять не места (1, 2, 3 и тд), а оценки.

[SanchoZZ]

По #2- для отбора чистых файлов- в вирлаб Авиры (у них ответы удобочитаемые, файл-результат), а для пополнения баз- кому как захочется.

[alemtin]

По 1. Согласен. Сканируем распакованный архив, делаем скрин + указываем чистые файлы.
По 2. Ни разу не отправлял Буду отсылать в вирлаб Касперского.
И я не понял, отправлять чистые файлы или все?
По 3. Если не будет форсмажоров.
За мной Kis 2011.

[Feo]

По 1. Согласен. Сканируем распакованный архив, делаем скрин + указываем чистые файлы.

Объективно, мы не сможем их указать. Только те, что не определил антивирус. Вот те, что не определил - указываем + скрин определившегося.

И я не понял, отправлять чистые файлы или все?

Все. Потому что, даже обнаруженные могут быть фолсами.

[alemtin]

Объективно, мы не сможем их указать. Только те, что не определил антивирус. Вот те, что не определил - указываем + скрин определившегося.

Я их и имел ввиду.